加固基于Windows 2003平台的WEB服务器（7）

在确定我们所要开放的服务之后就要去配置端口，是使用TCP/IP筛选 还是 IPSec?其实我很少用到IPSec，因为它是IP安全设置，除了我要禁止一个用户来访问我或配置一个特定的连接访问我几乎不去用IPSec。也去是因为我太懒了，只会记得要开放什么端口。

在我看来，TCP/IP端口筛选和IPSec是相辅相成的，普通的应用我认为还是用端口来的方便，毕竟它可以做到只开放哪些端口，之后针对其 * 定的端口用IPSec作安全加固，这样我倒是认为更好。一些朋友喜欢在事先做好一个IPSec模板，之后将其应用在其他服务器上，这样做我认为真的不对，毕竟每台服务器的应用都不会完全相同，这样做只会造成更多的故障，我就经常遇到这样的问题，一些客户总是抱怨他们的服务器出现莫名其妙的问题，最后通过我的排查分析发现很多问题都是因为同时使用TCP/IP端口筛选和IPSec造成的，而罪魁祸首则是那些好心人发布的IPSec模板，我没有恶意诋毁他们这些好心人的意思，而最终是要痛斥那些不作自身评估，技术意识贫乏的服务器管理员们，我曾经就让这些朋友们搞得哭笑不得，并开始厌恶我当前的工作。在当前案例中，我开放的端口是：TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4020。开放4000~4020是为了支持Serv-U的PASV模式(同时需要在Serv-U中设置这段被动端口范围)，当然你也可以用其他端口，没有特殊要求，记得我之前部署的一台服务器开放的就是这个端口范围，一个自称黑客的朋友联系了我所在的公司经理，并在其QQ上友情提示了服务器的这个所谓的端口漏洞，记得好像是这么说的：“你们的服务器不堪一击，在服务器上还开放了QQ和它的端口。”后来好像还提到如果公司愿意付费可以帮助解决安全问题，现在想起来心里都在暗笑，不过我接到警告信息都会非常重视，因为我明白一个道理：没有绝对的安全!!!不过后来服务器确实受到了攻击，不是被入侵而是被那个黑客小小的DDos了一下。这种一种非常有效的攻击方式，提高TCP/IP协议栈，甚至使用软件、硬件防火墙也只是在相对情况下可以抵御它，所以请各位遵守网络公德，不要使用DDos!!!

·目录权限的分配

1. 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果你想使网站坚固，可以分配只读权限并对特殊的目录作可写权限，作为一个开放式的服务器，这样的工作量是非常巨大的，所以我认为将威胁控制缩小到在这个网站中就已经够了。

2. 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。